Home

Internal

Global

Kontakt

de|it

1 Unternehmen | 50 Länder – Über 6.000 Kolleginnen und Kollegen |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.

Geolokalisierung von Mitarbeitern: Der Datenschutzgarant bekräftigt seine Sanktionspolitik in dieser Frage

veröffentlicht am 28. April 2025 | Lesedauer ca. 5 Minuten

Mit der Maßnahme vom 16. Januar 2025, die im Newsletter vom 21. März 2025 veröffentlicht wurde, hat die italienische Datenschutzbehörde („Garante“ oder „Behörde“) ein Transportunternehmen (‚Unternehmen‘ oder „Firma“), das sich der unrechtmäßigen Verarbeitung personenbezogener Daten durch den Einsatz eines Geolokalisierungssystems für Firmenfahrzeuge schuldig gemacht hat, mit einer Geldstrafe in Höhe von insgesamt 50.000 EUR belegt.

Die italienische Datenschutzbehörde hat am 16. Januar 2025 ein Transportunternehmen wegen unrechtmäßiger Verarbeitung personenbezogener Daten durch ein Geolokalisierungssystem mit einer Geldstrafe von 50.000 EUR belegt. Die Maßnahme wurde im Newsletter vom 21. März 2025 veröffentlicht.

Die Sanktionsmaßnahme wurde durch die Beschwerde eines ehemaligen Mitarbeiters ausgelöst, der behauptete:

dass er keine angemessenen Informationen über die Verarbeitung seiner persönlichen Daten erhalten hatte, die durch das Geolokalisierungssystem auf dem Firmenfahrzeug, das er für seine tägliche Arbeit benutzte, gesammelt wurden;
dass das Unternehmen auch gegen die in Artikel 4 des Gesetzes 300/1970 („Arbeiterstatut“) festgelegten Garantieverfahren verstoßen hatte.

Im Laufe der Untersuchung stellte sich heraus, dass das Geolokalisierungssystem - das dem Unternehmen von einem Drittanbieter zur Verfügung gestellt wurde - zum Schutz der Sicherheit und der Vermögenswerte des Unternehmens sowie aus Gründen der strukturellen Arbeitsorganisation eingesetzt wurde.

Am Ende des Vorverfahrens stellte die Garante fest, dass der den Arbeitnehmern zur Verfügung gestellte Datenschutzhinweis unzureichend und verwirrend war, Fehler enthielt, die Rolle der Verarbeitung nicht klar definiert war und auf irrelevante Dritte verwiesen wurde. Darüber hinaus war die Verbindung zwischen den Geolokalisierungsdaten und den Identifizierungsdaten der Arbeitnehmer auf direktere Weise möglich als vom Unternehmen angegeben: Dank der besonderen Funktionalitäten des Ortungssystems war es nämlich möglich, über letzteres kontinuierlich Informationen über die Position des Fahrzeugs, seinen Status (d. h. ob es ein- oder ausgeschaltet war), die Telemetrie und damit indirekt auch die vom Arbeitnehmer geleistete Arbeit zu erhalten.

Darüber hinaus war es im Rahmen der erfassten Informationen auch möglich, die Arbeitspausen des Arbeitnehmers zu verfolgen.

Darüber hinaus speicherte das System die erhobenen Daten 180 Tage lang: Diese Speicherfrist wurde von der Behörde als übermäßig und unverhältnismäßig im Hinblick auf die Anforderungen des Grundsatzes der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 679/2016 („DSGVO“) bewertet; außerdem verstieß eine solche Speicherung auch gegen die in der Genehmigungsanordnung der zuständigen territorialen Arbeitsaufsichtsbehörde festgelegten Anforderungen.

In Anbetracht aller Feststellungen stellte der Datenschutzbeauftragte fest, dass das Unternehmen mit Hilfe des oben genannten Geolokalisierungssystems eine systematische und unverhältnismäßige Überwachung der von seinen Mitarbeitern ausgeführten Arbeiten durchgeführt haben soll.

Die betreffende Maßnahme stellt eine weitere Warnung der Behörde in Bezug auf alle Verarbeitungen personenbezogener Daten von Arbeitnehmern dar, die, wenn sie nicht ordnungsgemäß geregelt und innerhalb des Unternehmens verwaltet werden, zur Entstehung von Risiken im Zusammenhang mit einer möglichen Fernüberwachung durch den Arbeitgeber führen können. Und in diesem Sinne können die Risiken von Sanktionen und Verstößen gegen die Compliance-Verpflichtungen beträchtlich sein, insbesondere unter Bezugnahme auf die Bestimmungen der DSGVO und das geltende italienische Arbeitsrecht (vor allem das Arbeiterstatut).

Um diese Risiken zu mindern, sollten Unternehmen, die beschließen, ein Geolokalisierungssystem für die von ihren Mitarbeitern für die Erbringung von Dienstleistungen genutzten Instrumente einzuführen, daher Folgendes überprüfen:

dass sie eine klare, aktuelle und mit dem erklärten Zweck der Geolokalisierung übereinstimmende Datenschutzerklärung verabschiedet haben, in der insbesondere die Art und Weise beschrieben wird, in der die personenbezogenen Daten der Mitarbeiter durch die Ortungssysteme erfasst und verarbeitet werden;
dass sie ein Geolokalisierungssystem verwenden, das es ihnen ermöglicht, ihre technische Konfiguration anzupassen, um die direkte Identifizierbarkeit der Mitarbeiter einzuschränken, wenn dies nicht erforderlich ist. Beispielsweise sollte die Ortung und die damit verbundene Verknüpfung mit den Identifikationsdaten des Mitarbeiters nicht während der Arbeitspausen erfolgen; in diesem Sinne sollte das System die Möglichkeit bieten, die Ortung zu unterbinden und somit die Anonymisierung der personenbezogenen Daten zu gewährleisten;
dass die Unternehmensrichtlinie zur Nutzung der betrieblichen IT-Instrumente – also jenes Dokument, das die Funktionsweise, den Zweck und die Nutzungsmodalitäten der in der Organisation eingesetzten technischen Mittel (wie betriebliche Geräte und Anwendungen) beschreibt – aktualisiert wird, um transparent und möglichst vollständig die Funktionsweise des Geolokalisierungssystems und dessen Fähigkeit – je nach Fall mehr oder weniger tiefgreifend – darzustellen, den Weg des Mitarbeitenden zu legitimen Zwecken zu verfolgen, wie z. B. dem Schutz seiner körperlichen Unversehrtheit und dem Schutz des Unternehmensvermögens;
dass während der Implementierungsphase sowie bei der anschließenden Nutzung des Geolokalisierungssystems die Bestimmungen der Genehmigung der zuständigen Arbeitsaufsichtsbehörde oder – sofern vorhanden – die Vereinbarung mit den Arbeitnehmervertretungen eingehalten wurden. Diese Maßnahmen ermöglichen es nämlich, ein Gleichgewicht zwischen den unternehmerischen Interessen des Unternehmens (dem sogenannten „berechtigten Interesse“) und dem Schutz der Arbeitsleistung des Mitarbeitenden zu erreichen und nachzuweisen – eine kontinuierliche Fernüberwachung des Mitarbeitenden könnte z. B. einen klassischen Verstoß gegen diesen Schutz darstellen, weshalb das Monitoring nur gelegentlich erfolgen sollte, um keine (auch potenzielle) Fernkontrolle der Arbeitsleistung darzustellen;
dass das Geolokalisierungssystem ausschließlich solche personenbezogenen Daten erhebt, die für die Erreichung des erklärten Zwecks unbedingt erforderlich sind, im Sinne der Rechenschaftspflicht und unter Berücksichtigung des Grundsatzes der Datenminimierung gemäß DSGVO;
dass die Möglichkeit besteht, im Geolokalisierungssystem Audit- und Protokollierungsfunktionen zu implementieren, um die Zugriffe auf personenbezogene Daten durch autorisierte Mitarbeitende zu überwachen;
dass eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt wird, um die Rechenschaftspflicht des Verantwortlichen im Hinblick auf die Geolokalisierung zu stärken und die verfolgten Zwecke bestmöglich zu begründen;
dass, sofern technisch möglich und im Hinblick auf die Konfiguration des Geolokalisierungssystems, ein kurzer Informationshinweis eingeführt wird, der – beim Einschalten der Fernüberwachungsfunktion – kurz den Zweck und die Modalitäten der Verarbeitung der personenbezogenen Daten des Mitarbeitenden beschreibt, sodass dieser möglichst umfassend informiert ist. Diese erste Informationsebene sollte zudem auf die von dem Unternehmen bereitgestellte Datenschutzerklärung zur Verarbeitung der Mitarbeitendendaten verweisen, um maximale Transparenz zu gewährleisten.